Pembuat iPhone, dalam catatan rilisnya untuk iOS dan iPadOS 15.2.1, menyebutnya sebagai "masalah kehabisan sumber daya" yang dapat dipicu saat memproses nama aksesori HomeKit yang dibuat dengan jahat, menambahkannya mengatasi bug dengan validasi yang ditingkatkan.
Apa yang disebut kerentanan "doorLock", dilacak sebagai CVE-2022-22588, memengaruhi HomeKit, API perangkat lunak untuk menghubungkan perangkat rumah pintar ke aplikasi iOS.
Jika berhasil dieksploitasi, iPhone dan iPad dapat dikirim ke crash spiral hanya dengan mengubah nama perangkat HomeKit menjadi string yang lebih besar dari 500.000 karakter dan menipu target agar menerima undangan Home yang berbahaya.
Lebih buruk lagi, karena nama perangkat HomeKit dicadangkan ke iCloud, masuk kembali ke akun iCloud yang terpengaruh yang ditautkan ke perangkat HomeKit dapat memicu kembali kondisi DoS dan menyebabkan perangkat memasuki siklus kerusakan dan reboot tanpa akhir yang hanya dapat diakhiri dengan mengembalikannya ke pengaturan pabrik.
Meskipun perusahaan berusaha untuk mengurangi masalah dengan memperkenalkan batasan pada panjang nama yang dapat ditetapkan oleh aplikasi atau pengguna, ternyata tidak melakukan apa pun untuk mencegah penyerang menjalankan versi sebelumnya yang memungkinkan nama perangkat yang terlalu panjang dan kemudian membuat korban menerima undangan nakal melalui email phishing.
Perbaikan terjadi beberapa minggu setelah peneliti keamanan Trevor Spiniolas, yang menemukan kerentanan, menyebut perusahaan gagal "menganggap masalah ini serius" meskipun telah melaporkannya pada Agustus 2021 dan membuat pelanggannya terpapar pada masalah yang cukup serius.
"Kurangnya transparansi Apple tidak hanya membuat frustrasi peneliti keamanan yang sering bekerja secara gratis, tetapi juga menimbulkan risiko bagi jutaan orang yang menggunakan produk Apple dalam kehidupan sehari-hari mereka dengan mengurangi akuntabilitas Apple dalam masalah keamanan," kata Spiniolas.
Last edited by a moderator: